Abo
  • Services:
Anzeige
Bekannte private Schlüssel von SSH-Geräten, die mit dem Internet verbunden sind.
Bekannte private Schlüssel von SSH-Geräten, die mit dem Internet verbunden sind. (Bild: Screenshot)

Verschlüsselung: Mehrfach genutzte SSH-Keys weit verbreitet

Bekannte private Schlüssel von SSH-Geräten, die mit dem Internet verbunden sind.
Bekannte private Schlüssel von SSH-Geräten, die mit dem Internet verbunden sind. (Bild: Screenshot)

Bei einem Scan des Internets hat sich herausgestellt, dass Hunderttausende von Geräten denselben SSH-Schlüssel nutzen. Teilweise liegt das an Fehlern, teilweise an fragwürdigen Konfigurationsentscheidungen.

Anzeige

Der IT-Sicherheitsforscher John Matherly hat herausgefunden, dass Hunderttausende Geräte an öffentlichen IPs dieselben SSH-Serverschlüssel einsetzen. Der am häufigsten genutzte Key stammt von Geräten des spanischen Internetproviders Telefónica. Offenbar wurden Router an Kunden ausgeliefert, die ein öffentliches SSH-Interface anbieten und dafür einen Standardschlüssel einsetzen, der auf allen Geräten derselbe ist. Der Key von Telefónica wurde auf circa 250.000 Geräten verwendet. Matherly hat dies bei der Analyse von Daten festgestellt, die bei Scans des Internet-Adressraums gesammelt wurden.

140.000 IPs von 1&1 mit demselben Key

Während im Fall von Telefónica klar sein dürfte, dass es sich um eine Sicherheitslücke handelt, ist das in anderen Fällen weniger eindeutig. So findet sich ein Key von 1&1 auf 140.000 verschiedenen IPs. Die IPs betreffen Webhosting-Server, vermutlich handelt es sich um eine deutlich geringere Anzahl an Servern, die für verschiedene IPs zuständig sind. Auf mehreren Servern denselben Schlüssel zu verwenden, ist nicht direkt ein Sicherheitsrisiko - es gilt allerdings als schlechte Praxis. Wird nur ein einziger Server davon gehackt, besitzt ein Angreifer den Key für alle anderen Server.

In vielen Fällen sind dies Sicherheitsprobleme, die schon lange bekannt oder auch öffentlich dokumentiert sind. Router des deutschen Herstellers Lancom wurden in früheren Versionen mit einem Standard-SSH-Schlüssel ausgeliefert. Ein Geheimnis ist das nicht, man kann es im Handbuch für das auf den Geräten verwendete Betriebssystem LCOS nachlesen.

Der Metasploit-Entwickler HD Moore hat auf Github ein Repository angelegt, in dem er Informationen über problematische SSH-Keys sammelt. HD Moore ruft auf Twitter dazu auf, Informationen über weitere problematische SSH-Schlüssel zu sammeln und ihm als Pull-Request zu schicken.

Auch Login-Keys von Geräten öffentlich bekannt

Besonders problematisch: In einigen Geräten findet man auch Keys zum Einloggen, die von vielen Systemen geteilt werden. Ist ein Angreifer im Besitz eines solchen Keys, kann er das Gerät direkt übernehmen. Bei Server-Keys lassen sich die betroffenen Schlüssel hingegen für eine Man-in-the-Middle-Attacke nutzen. Das ist allerdings deutlich aufwendiger.

Bereits 2012 hatte ein Forscherteam um die Kryptografin Nadia Heninger eine ähnliche Untersuchung vorgenommen und dabei diverse Sicherheitsprobleme mit kryptografischen Schlüsseln gefunden. In der FAQ zur entsprechenden Forschungsarbeit steht, dass damals 10 Prozent der SSH-Server Keys verwendeten, die aufgrund von Sicherheitslücken von mehreren Systemen eingesetzt würden. Systeme wie die von 1&1, bei denen es sich vermutlich nur um eine ungünstige Konfiguration handelt, wurden dabei bereits herausgerechnet. Bei vielen der betroffenen Geräte handelte es sich auch um Keys, die direkt beim Booten erstellt werden - zu einem Zeitpunkt, zu dem auf dem System noch kein funktionierender Zufallszahlengenerator zur Verfügung steht.


eye home zur Startseite
Cyb3rfr3ak 19. Feb 2015

So ein Quatsch... und ein Key Paar wird da schon gar nicht erzeugt.. 1) Client verbindet...



Anzeige

Stellenmarkt
  1. ING-DiBa AG, Nürnberg
  2. Allianz Deutschland AG, Unterföhring
  3. ponturo consulting AG, Frankfurt am Main
  4. Schwäbische Hüttenwerke Automotive GmbH, Aalen


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 16,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Wissens-Guide und Kaufberatung für Cloud-Sicherheit


  1. UEFI-Update

    Agesa 1004a lässt Ryzen-Boards schneller booten

  2. Sledgehammer Games

    Call of Duty WWII spielt wieder im Zweiten Weltkrieg

  3. Mobilfunk

    Patentverwerter klagt gegen Apple und Mobilfunkanbieter

  4. Privatsphäre

    Bildungsrechner spionieren Schüler aus

  5. Raumfahrt

    Chinesischer Raumfrachter Tanzhou 1 dockt an Raumstation an

  6. Die Woche im Video

    Kein Saft, kein Wumms, keine Argumente

  7. Windows 7 und 8

    Github-Nutzer schafft Freischaltung von neuen CPUs

  8. Whitelist umgehen

    Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung

  9. Easy S und Easy M

    Vodafone stellt günstige Einsteigertarife ohne LTE vor

  10. UP2718Q

    Dell verkauft HDR10-Monitor ab Mai 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantenphysik: Im Kleinen spielt das Universum verrückt
Quantenphysik
Im Kleinen spielt das Universum verrückt
  1. Quantenmechanik Malen nach Zahlen für die weltbesten Mathematiker
  2. IBM Q Qubits as a Service
  3. Rechentechnik Ein Bauplan für einen Quantencomputer

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren
  2. Sportback Concept Audis zweiter E-tron ist ein Sportwagen
  3. Vision E Skoda will elektrisch überzeugen

Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
Hate-Speech-Gesetz
Regierung kennt keine einzige strafbare Falschnachricht
  1. Neurowissenschaft Facebook erforscht Gedanken-Postings
  2. Rundumvideo Facebooks 360-Grad-Ballkamera nimmt Tiefeninformationen auf
  3. Spaces Facebook stellt Beta seiner Virtual-Reality-Welt vor

  1. Re: Bootzeit?

    ve2000 | 03:23

  2. Re: Weltveränderung

    Niaxa | 02:06

  3. Re: Weltveränderung

    m9898 | 01:49

  4. frage zu Passmark CPU benchmarks

    mrgenie | 01:18

  5. Re: GA-AB350-Gaming3 teils verschlimmbessert

    Silberfan | 01:05


  1. 12:40

  2. 11:55

  3. 15:19

  4. 13:40

  5. 11:00

  6. 09:03

  7. 18:01

  8. 17:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel